Après le phishing, cette arnaque qui consiste à voler des informations (identifiants, coordonnées bancaires…) aux internautes en leur envoyant un e-mail ou un SMS contenant un lien frauduleux, voici le quishing. Cette fois, les escrocs répandent leur lien via un QR code.
Un prétendu remboursement de la part des impôts, un faux conseiller bancaire ou support technique, une soi-disant amende à payer dans les plus brefs délais… Les escrocs ne manquent pas d’imagination quand il s’agit de cacher des tentatives de phishing ! L’internaute prend le courriel ou le SMS au sérieux, clique sur le lien joint au message et, s’il va au bout, révèle de précieuses informations, comme des coordonnées bancaires ou des identifiants à un service, à des escrocs qui finissent par lui voler son argent.
Des experts en cybersécurité alertent aujourd’hui sur une nouvelle arnaque inspirée du phishing, appelée quishing. En fait, le procédé et l’intention sont les mêmes : l’idée reste de vous faire cliquer sur un lien pour vous dérober des informations. Seulement cette fois, le lien frauduleux est dissimulé derrière un QR code (d’où le nom, contraction de « QR code » et de « phishing »). Ce QR code peut être envoyé par courriel, auquel cas les filtres antispams ne les détectent pas forcément (contrairement aux e-mails de phishing, désormais assez bien repérés). Mais il peut aussi être imprimé pour être scanné par tous, sur tous les supports imaginables, dans des lieux publics ou privés (sur une borne de parking pour payer son stationnement, dans les transports, sur une affiche publicitaire, un prospectus, une carte de restaurant, etc.).
Un QR code peut être généré très facilement par n’importe qui. Il existe en effet de nombreux générateurs gratuits accessibles en deux clics sur Internet ; il est ensuite facile d’intégrer le QR code frauduleux dans une communication aux couleurs d’une entreprise. Heureusement, les plateformes qui proposent des QR codes gratuits limitent le plus souvent le nombre de scans possibles du QR code à une centaine. Cette restriction contient la menace.
Mais les hackers sont malins : les QR code, ils parviennent parfois à les détourner. Certains services permettent à leurs clients de s’identifier par l’intermédiaire d’un QR code. C’est par exemple le cas d’ING Bank (qui s’est retiré du marché français début 2023), souvent citée comme exemple quand il s’agit de quishing. Le site Securitymagazine.com relate la mésaventure de la banque, dont les QR code d’authentification destinés aux clients ont été détournés, donnant accès aux comptes bancaires aux escrocs. Des milliers d’euros ont disparu des comptes des victimes. Vincent Biret, PDG d’Unitag, l’une des grandes plateformes de QR codes, se veut rassurant : « Ce type de détournement est de plus en plus complexe. Un QR code contient de multiples encodages, avec une redondance des différents modules difficile à déchiffrer, explique l’expert, qui précise que le piratage de QR codes reste marginal. On estime que dans le monde, 2,4 milliards de courriels par jour sont des tentatives de phishing. À titre de comparaison, chez Unitag, nous avons généré 25 millions de QR codes en 2023 et seuls 1 500 se sont avérés frauduleux ». N’empêche, mieux vaut faire preuve de prudence avant de scanner.
Notre conseil : adoptez avec les QR codes les mêmes réflexes qu’avec les tentatives de phishing. Jetez un coup d’œil à l’adresse web sur laquelle vous êtes redirigé : elle doit être officielle ; et au moindre doute, à la moindre faute d’orthographe, ne flashez pas !
Camille Gruhier (Chef de rubrique)